Продукты: Indeed CM

Затрагиваемые компоненты:

Вопрос:
Истекает срок действия сертификата для работы с УЦ. Как правильно его обновить?

Ответ:
Процесс обновления сертификата зависит от используемого Удостоверяющего Центра. Ниже приведены шаги для обновления сертификатов Microsoft Enterprise CA и КриптоПро УЦ 2.0.

Microsoft Enterprise CA
Самым быстрым и удобным способом является перевыпуск сертификата через утилиты IndeedCM.CertEnroll.MsCA.exe.
Выполните следующие действия:

1. Запустите от имени учетной записи с правами локального администратора на сервере Indeed CM утилиту IndeedCM.CertEnroll.MsCA.exe с параметром /e <service username> <password>, где:
   ∙ service username – имя сервисной учетной записи для работы с центрами сертификации (serviceca)
   ∙ password – пароль сервисной учетной записи
   
   Пример: IndeedCM.CertEnroll.MsCA.exe /e serviceca password1
   
   Результат работы утилиты:
   DumpVariantStringWorker: 0: "Microsoft Enhanced Cryptographic Provider v1.0"
   DumpVariantStringWorker: 1: "Microsoft Base Cryptographic Provider v1.0"
   DumpVariantStringWorker: 2: "Microsoft Base DSS Cryptographic Provider"
   CA: w2k3e.demo.local\MSCA
   ’EnrollmentAgent’ certificate has been enrolled successfully.
   
   
2. Если запрос на сертификат должен быть одобрен оператором УЦ, то утилита предложит принять запрос и продолжить работу, указав при этом порядковый номер запроса и имя ключевого
   контейнера:
   CA: w2k3e.demo.local\MSCA
   Certificate request is pending.
   Request id: 27
   Container name: lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
   Please accept request and then install certificate.
   
   
3. После одобрения запроса оператором необходимо выполнить команду для установки сертификата в хранилище.
   Для этого запустите утилиту IndeedCM.CertEnroll.MsCA.exe с параметром /i <service username> <password> <requestId> <containerName>, где:
   ∙ service username – имя сервисной учетной записи для работы с центром сертификации (serviceca)
   ∙ password – пароль сервисной учетной записи
   ∙ requestId – порядковый номер запроса на сертификат
   ∙ containerName – имя ключевого контейнера
   
   Пример: IndeedCM.CertEnroll.MsCA.exe /e serviceca password1 27 lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
   
   Результат работы утилиты:
   CA: w2k3e.demo.local\MSCA
   Certificate has been installed successfully.
   
   
4. В случае необходимости можно указать имя шаблона сертификата (Enrollment Agent) и центр сертификации к которому следует обратиться (если развернуто несколько центров сертификации).
   
   Пример: IndeedCM.CertEnroll.MsCA.exe /e service password /t=”EnrollmentAgent” /c=”WS2008R2.test.local\Indeed-CA”
   
   
5. В результате работы утилиты в хранилище сертификатов компьютера, на котором установлен сервер Indeed CM, появится сертификат с назначением Агент запроса сертификатов (Enrollement Agent) с экспортируемым закрытым ключом и настроенными правами на управление закрытым ключом для учетной записи сервисного пользователя.
   
   Выпустить новый сертификат также можно и с использованием оснастки Сертификаты. Процесс выпуска сертификата через оснастку описан в Руководстве по установке и настройке Indeed CM в разделе Настройка системы для использования с удостоверяющим центром Microsoft - > Выпуск сертификата при помощи оснастки Сертификаты (Certificates).

КриптоПро УЦ 2.0

Сертификат можно обновить двумя способами:

1. Создать запрос на новый сертификат через web-интерфейс и установить в хранилище сертификатов компьютера (сервера Indeed CM).
2. Получить от оператора УЦ сертификат на внешнем носителе и установить его в хранилище сертификатов  компьютера (сервера Indeed CM).

Запрос сертификата через web-сервис:

1. С рабочей станции, на которой установлен сервер Indeed CM, выполните вход в личный кабинет пользователя КриптоПро УЦ по идентификатору и временному паролю сервисной учетной записи (браузер должен быть запущен от имени администратора).
2. Создайте запрос на сертификат, указав шаблон Indeed CM Service User.
3. Дождитесь одобрения запроса оператором Центра Регистрации.
4. Перейдите в раздел Запросы – Изготовление личного кабинета пользователя КриптоПро.
5. Загрузите и сохраните изготовленный сертификат.
6. Используя КриптоПро CSP установите полученный сертификат в хранилище компьютера.
7. Выдайте системе Indeed CM права на чтение закрытого ключа сертификата сервисной учетной записи. Для этого в оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) – Управление закрытыми ключами... (Manage Private Keys...), нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\IndeedCM (если используется IIS 7.5 и более поздние версии) и выставите права Полный доступ (Full Control) и Чтение (Read). Нажмите Применить (Apply).

Установка сертификата, находящегося на внешнем носителе (usb-токене или смарт-карте):

1. Используя КриптоПро CSP скопируйте сертификат и его закрытый ключ с устройства и установите в хранилище компьютера.
2. Выдайте системе Indeed CM права на чтение закрытого ключа сертификата сервисной учетной записи. Для этого:
   1. В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) – Управление закрытыми ключами... (Manage Private Keys...),
   2. Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\IndeedCM (если используется IIS 7.5 и более поздние версии) и выставите права Полный доступ (Full Control) и Чтение (Read).
   3. Нажмите Применить (Apply).